IL SISTEMA DEI CONTROLLI INTERNI NELLE IMPRESE DI ASSICURAZIONE.

Corso di Laurea magistrale in

Economia e Finanza (Classe LM-77)

Tesi di laurea

Il sistema dei controlli interni nelle

imprese di assicurazione.

Relatore:

Ch. Prof. ssa. Giuliana Martina

Laureanda:

Valentina Arzenton

Matricola 827571

Anno Accademico 2013/2014

INDICE

INTRODUZIONE……….….pag.1

Capitolo I IL CONTROLLO

1.1. Significato e caratteristiche generali………...pag.5 1.2. Elementi costitutivi………...pag.13 1.3. Aspetto organizzativo ………...pag.16 1.4. Concetti e attori del controllo ………...pag.18

Capitolo II

EVOLUZIONE STORICA DEI CONTROLLI INTERNI

2.1. Nel panorama internazionale………....pag.27 2.2. Nel panorama europeo e nazionale………...pag.32

Capitolo III

IL SISTEMA DEI CONTROLLI INTERNI NELLE FONTI NORMATIVE NA-ZIONALI

3.1. Nel Codice Civile……….…….pag.35 3.2. Nel Testo Unico della Finanza (D.lgs. n. 58/1998)……….…….pag.41 3.3. Nel Testo Unico Bancario (D.lgs. n. 385/1993)……….……..pag.45 3.4. Il ruolo dell’autodisciplina……….……...pag.48 3.4.1. Il Consiglio di Amministrazione……….……..pag.53

3.4.3. La funzione di Internal Audit………...pag.58

3.5. Nel Codice delle Assicurazioni Private (D.lgs. n. 209/2005)………...pag.60

Capitolo IV

IL SISTEMA DEI CONTROLLI INTERNI NEL SETTORE ASSICURATIVO

4.1. Aspetti generali……….…pag.65 4.2. La Direttiva Solvency II………....pag.67 4.3. Un “nuovo” sistema dei controlli interni………..pag.74 4.3.1. Principi generali………....pag.76 4.3.2. Ruolo degli organi sociali……….pag.80 4.3.3. Ruolo delle funzioni di controllo………..pag.89

4.3.4. Le componenti del sistema dei controlli interni………..pag.101

4.3.5. Disposizioni in materia di gruppo assicurativo………...pag.105

4.3.6. Disposizioni in materia di esternalizzazione………...pag.112

CONCLUSIONI……….pag.119

- 1 -

INTRODUZIONE

Le recenti crisi finanziarie hanno riaperto in dottrina accesi dibattiti sul tema del-la corporate governance e suldel-la necessità di introdurre regole più pervasive per scongiu-rare abusi ed irregolarità. Tra gli argomenti al centro di discussioni e di riforme si trova-no anche i temi del risk management e del controllo intertrova-no, che oggigiortrova-no rivestotrova-no un ruolo cruciale per garantire una buona amministrazione.

I controlli interni (o endosocietari) sono formati da una serie di attività di verifi-ca che competono ad appositi organi sociali (organo amministrativo ed organo di con-trollo) e a specifiche funzioni aziendali appartenenti all’organizzazione d’impresa (fun-zione di internal audit, di compliance e di risk management)1; la loro complessità pro-cedurale risulta graduata in base alle caratteristiche dimensionali ed operative dell’impresa.

Il miglioramento delle regole e dei controlli può rappresentare sicuramente un punto di forza per governare con successo le crisi d’impresa e per rafforzare la fiducia

dei mercati, tuttavia occorre sempre equilibrare la necessità di prevenzione e controllo con il rischio di imporre alle imprese vincoli eccessivi ed inefficienti2.

Difatti, alla sempre più diffusa esigenza di prevenire le irregolarità e le false in-formazioni attraverso un irrobustimento dei controlli interni, si contrappone l’opinione

di quanti ritengono che regole eccessivamente severe rischino di incidere negativamente

1 _{Cfr. G. GASPARRI, “I controlli interni nelle società quotate – Gli assetti della disciplina} italia-na e i problemi aperti”, in Quaderni Giuridici Consob, n. 4, 2013, op. cit., pag. 3.

2 _{In dottrina lo si definisce fenomeno dell’overshooting e consta nell’imporre alle imprese} costi e vincoli eccessivi. Nell’edizione italiana a cura di Associazione Italiana Internal Auditors e Pri-cewaterhouseCoopers, “Internal control over Financial Reporting- Guidance for Smaller Pubblic Com-panies”, pubblicata dal CoSo nel 2006, si dice che: “Uno degli elementi di contatto tra le società ita-liane e quelle statunitensi è rappresentato dalla spinta normativa verso un continuo miglioramento del sistema di controllo interno con conseguenti crescenti oneri di gestione. Ciò rende necessaria una maggior attenzione di tutti i soggetti coinvolti sul tema della governance verso la ricerca di una giusto equilibrio tra il necessario rispetto delle disposizioni di legge e la definizione di un sistema di controllo interno che sia efficace ma al tempo stesso economicamente sostenibile”, op. cit., pag. 2.

- 2 -

sull’efficienza delle imprese e risultino comunque inidonee ad impedire anomalie e

comportamenti elusivi3.

Alcuni autori hanno più volte sottolineato che la regolamentazione, lasciando dei vuoti nel disegno del sistema dei controlli interni, crea delle aree non presidiate dove gli errori incidono maggiormente e dove gli operatori possono aggirare facilmente i con-trolli4.

Il mondo giuridico ed economico ravvisa la necessità di un’opera di

razionaliz-zazione, intendendo con questo termine richiamare l’esigenza di un riordino del quadro delle regole per permettere agli attori del mercato di muoversi in modo sinergico e coordinato, seguendo un disegno chiaro e facendosi portavoce di principi comuni, evi-tando ridondanze controproducenti.

Non si può certo affermare che la cultura del controllo sia emersa seguendo un disegno organico e razionale, anzi, molto spesso del controllo ci si è ricordati in situa-zioni di emergenza emanando discipline che, sebbene ispirate a principi di trasparenza e correttezza, pongono rilevanti problemi di integrazione nel sistema normativo naziona-le. Ed è per questo che il sistema dei controlli interni, all’interno del panorama giuridi-co-aziendalistico italiano, risulta caratterizzato da una stratificazione di disposizioni di rango normativo differente e da principi di stampo autodisciplinare5.

Tuttavia, nonostante si disponga di un ricco ed articolato insieme di normative, paradossalmente, si assiste a sovrapposizioni di figure di vigilanza e alla contestuale

3 _{Cfr. G. GASPARRI, op. cit., pag. 3.}

4 _{È il caso di M. FAGGION, l’autore nel suo paper “Schema conclusivo sul Sistema di Controllo} Interno” sostiene che il sistema di controllo interno può fallire e che esistono dei rischi ineliminabi-li, op. cit., pag. 5.

- 3 -

presenza di aree non presidiate in cui risulta agevole per gli operatori del mercato porre in essere comportamenti elusivi6.

Il controllo interno rappresenta uno dei settori principali in cui da diversi anni viene esercitato il potere regolamentare da parte delle autorità amministrative; le quali si sono innumerevoli volte fatte portavoce del principio di sana e prudente gestione come obiettivo primario degli organi sociali aziendali e come finalità fondamentale delle Au-torità di Vigilanza7.

Comportamenti corretti e prudenti devono essere garantiti in tutte le società, a maggior ragione nelle imprese che, più delle altre, coinvolgono interessi generali e dif-fusi. Con quest’ultima affermazione ci si vuole riferire alle società assicurative e

banca-rie che, proprio per la loro particolare attività, devono tutelare una vasta platea di sog-getti e soddisfare un ampio ventaglio di esigenze.

Di conseguenza, tanto nell’ambiente bancario quanto in quello assicurativo, il controllo interno è diventato uno snodo cruciale dell’organizzazione aziendale e, allo stesso tempo, uno degli aspetti più pregnanti dal punto di vista delle responsabilità. Di-fatti il controllo non rappresenta solo un ulteriore compito a cui devono assolvere gli organi sociali, ma anche un segmento importante dell’organizzazione aziendale8 che, oltretutto, richiede ingenti investimenti intellettuali, nonché l’adesione da parte dell’intera struttura aziendale ad un codice etico9

comune che esalti la cultura del con-trollo a tutti i livelli.

6 _{Alcuni autori evidenziano la necessità di un coordinamento tra gli organi di controllo e di} una migliore identificazione delle funzioni ad essi attribuite. Tra questi si richiamano P. MONTA-LENTI e F. D’ANGELO.

7 _{Al riguardo si approfondisca l’articolo di F. D’ANGELO, “Controlli interni, compliance e} ge-stione del rischio: quis custodiet ipsos custodes?”, in SIRI M., MARANO P. (a cura di), La regolazione assicurativa. Dal codice ai provvedimenti di attuazione, Torino, Giappichelli, 2009.

8 _{Cfr. Committee of Sponsoring Organizations of the Treadway Commission (COSO), “Internal} Control - Integrated Framework”: “Internal control is a part of business processes and it is integrat-ed with them”, op. cit., pag. 9.

9 _{Per approfondire il tema sull’importanza dell’adesione a codice etici aziendali, si richiama} il paper “Ambiente aziendale e cultura del controllo - Analisi complessiva delle interrelazioni tra

si-- 4 si--

In un quadro rappresentato da una crescente trasversalità e multidisciplinarietà del tema del controllo, nonché da una necessità di uniformarsi alla normativa europea, si inserisce il Regolamento ISVAP n°20 del 26 Marzo 2008, contenente “Disposizioni in

materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività delle imprese di assicurazione, ai sensi degli articoli 87 e 191, comma 1, del Decreto Legislativo 7 Settembre 2005, n° 209 – Codice delle Assicurazioni Private. Successivamente modificato ed integrato dal Provvedimento ISVAP dell’8 Novembre 2012 n° 3020 e dal Provvedimento IVASS10 del 15 Aprile 2014 n° 17”11.

Con questo lavoro si cercherà di affrontare il tema dei controlli interni nelle so-cietà organizzate secondo il modello tradizionale, mentre solo brevi cenni saranno dedi-cati ai sistemi monistico e dualistico. Dopo una premessa di carattere generale, volta a definire il concetto di “controllo”, si analizzerà brevemente l’evoluzione storica del

quadro giuridico di riferimento e si individueranno le normative nazionali che trattano il tema. Successivamente si studierà il Regolamento ISVAP n° 20/2008, come da ultimo integrato e modificato dal Provvedimento n° 3020 dell’ 8 Novembre 2012 e dal Provve-dimento n° 17 del 15 Aprile 2014, approfondendo così il tema dei controlli interni nel settore assicurativo.

stema di controllo interno aziendale, etica di impresa e corporate social responsibility” del Prof. P. LISI (Presidente Associazione Italiana Internal Auditors). Nello scritto lo studioso afferma che “ri-sulta fondamentale che la cultura aziendale sia pervasa da una serie di chiari principi etici di riferi-mento; ove redatti in forma scritta e strutturati in modo razionale, tali canoni danno vita, appunto, ai codici etici aziendali”, op.cit, pag. 6.

10 _{Dal 1° Gennaio 2013 l’Istituto per la Vigilanza sulle Assicurazioni (IVASS) è succeduto in} tutte le funzioni ed in tutti i rapporti attivi e passivi dell’ISVAP (cfr. art. 13, D.lg. 6.7.2012, n. 95, convertito in legge, con modificazioni, dall’art. 1, comma 1, l. 7.8.2012, n. 135).

11 _{Cfr. P. MONTALENTI, “Il sistema dei controlli interni nel settore assicurativo”, in} Assicura-zioni, 2013, op. cit., pag. 207.

- 5 -

Capitolo I

IL CONTROLLO

SOMMARIO: 1.1. Significato e caratteristiche generali – 1.2. Elementi costitutivi – 1.3. Aspetto organiz-zativo – 1.4. Concetti e attori del controllo.

1.1. Significato e caratteristiche generali

Parlando di sistema dei controlli interni ci si riferisce a quel “processo, attuato

nel consiglio di amministrazione, dai dirigenti e da altri soggetti della struttura azien-dale, finalizzato a fornire una ragionevole sicurezza circa il conseguimento degli obiet-tivi di:

 Efficacia ed efficienza delle attività operative;  Salvaguardia del patrimonio aziendale;  Attendibilità delle informazioni di bilancio;  Conformità alla legge ed ai regolamenti;”12

Per analizzare attentamente la definizione di sistema dei controlli interni occorre individuare il significato di ciascuna parola ed assemblarlo per creare un concetto molto più articolato:

 Un “sistema” è costituito da un insieme di meccanismi, di procedure e di

strumenti, tra loro connessi e finalizzati al conseguimento di un risultato co-mune13;

12 _{Definizione ampiamente diffusa in dottrina, essa viene ripetuta in numerosi testi e} artico-li: è la nozione fornita dall’ AIIA – Associazione Italiana Internal Audit, ma a sua volta ripresa nel Co-dice di Autodisciplina di Borsa Italiana all’articolo 7.P.3 ed infine è la spiegazione fornita nel 1992 dal CoSo nel paper “Internal Control - Integrated Framework” per identificare il concetto di controllo interno.

13 _{Cfr. R. PROVASI e A. NOBOLO, “Corporate Governance; Il Sistema di Controllo Interno} (SCI)”, op. cit., pag. 7.

- 6 -

 Per “controllo” ci si può riferire, non in modo coestensivo, ad un’attività

ispet-tiva e di vigilanza (definizione ampiamente utilizzata nella letteratura econo-mico-aziendale) o ad un’attività di guida e di governo di un sistema14 (defini-zione più recente e derivante dal verbo inglese “to control” – guida,

direzio-ne)15;

 “Interno” sta ad indicare che i controlli operano nella struttura aziendale e

de-finiscono le responsabilità dei sui componenti.

Dopo questa schematica definizione si può concludere dicendo che il sistema dei controlli interni è rappresentato da una serie di azioni tra loro collegate (un processo16 per l’appunto) poste in essere da persone “posizionate” a tutti i livelli gerarchici dell’organizzazione aziendale17

.

Compito del sistema dei controlli è quello di coadiuvare il consiglio di ammini-strazione contribuendo ad una conduzione dell’impresa coerente con gli obiettivi

azien-dali e facilitandone l’assunzione di decisioni consapevoli. Spetta sempre allo stesso si-stema appurare l’economicità operativa della struttura aziendale verificando che le ope-razioni gestionali vengano eseguite secondo principi di:

 Efficacia, ossia la capacità di raggiungere gli obiettivi prestabiliti;

14 _{Cfr. R. PROVASI e A. NOBOLO, op. cit., pag. 11.} 15 _{Cfr. G. GASPARRI, op. cit., pag. 12.}

16 _{Cfr. Committee of Sponsoring Organizations of the Treadway Commission (COSO): “Internal} control means different things to different people. This causes confusion […]. Internal control is broadly defined as a process, effected by an entity’s board of directors, management and other per-sonnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories:

●Effectiveness and efficiency of operations. ●Reliability of financial reporting.

●Compliance with applicable laws and regulations.

Internal Control is not one event […] but a series of actions. These actions are pervasive and are in-herent in the way management runs the business”, op. cit., pag. 13.

- 7 -

 Efficienza, cioè l’idoneità a raggiungere gli obiettivi con un utilizzo razionale

ed appropriato di risorse umane e materiali (in altre parole minimizzando i consumi);

 Economicità, ossia la capacità di operare attraverso l’utilizzo di risorse al

mi-nor costo possibile.

Il giudizio sull’efficacia si sostanzia in un confronto interno tra budget aziendali e risultati conseguiti, mentre il giudizio sull’efficienza e quello sull’economicità neces-sitano di un confronto con altre realtà aziendali da usare come benchmark di riferimen-to. Tuttavia non si può pensare ad una corretta e pervasiva verifica dell’efficacia,

effi-cienza ed economicità delle operazioni, se, a monte, non si prevede una verifica sull’attendibilità dei dati da usare come parametri per i confronti.

Forse proprio per questo motivo, inizialmente, il controllo interno interessava quasi esclusivamente l’area della revisione contabile. Spetta a quest’ultima indagare sull’attendibilità delle informazioni di bilancio e interpretare il significato delle cifre in

esso riportate. Tuttavia la funzione di revisione18 non si riduce ad una mera verifica del-la correttezza dei dati, ma si sostanzia anche in una importantissima interpretazione dei possibili legami presenti all’interno del bilancio ed in una altrettanto fondamentale

rico-struzione dei fatti economico aziendali che hanno caratterizzato la dinamica d’impresa.

Meta dell’intera attività di revisione è il giudizio professionale fornito dalla so-cietà di revisione che, secondo quanto previsto dalla Sezione VI - “Revisione legale dei

conti” del D.lgs. 24 Febbraio 1998 n.58 (Testo Unico della Finanza), decreta

l’attendibilità o meno del bilancio. Come affermato in dottrina, “la società di revisione

rappresenta un presidio di controllo esterno rispetto agli altri organi deputati al

- 8 -

lo, quali il consiglio di amministrazione, il collegio sindacale, il dirigente preposto alla redazione dei documenti contabili societari e la funzione di internal audit”19.

La l. 28 Dicembre 2005 n. 262, recante “Disposizioni per la tutela del risparmio

e la disciplina dei mercati finanziari”, comportò significative modifiche a diversi

mec-canismi dispositivi20, ma ciò che qui ci interessa sono le modifiche apportate alla Sezio-ne VI del TUF. Il tema della revisioSezio-ne contabile è stato poi ulteriormente integrato con il D.lgs. 29 Dicembre 2006, n.30321 e con alcuni regolamenti CONSOB del 200722.

La disciplina della revisione contabile, dapprima consolidatasi nel TUF, è stata da ultimo oggetto di riformulazione tramite il D.lgs. 27 Gennaio 2010 n. 39, attuativo della Direttiva 2006/43/CE in tema di revisione legale dei conti annuali e dei conti con-solidati23. Le modifiche più significative interessarono le materie inerenti il conferimen-to e la revoca dell’incarico di revisione, di cui all’art. 159 TUF, le situazioni di

incom-patibilità, vedi art. 160 TUF, ed infine la revisione contabile dei gruppi, come disposto all’art. 165 TUF24

.

Ciò che ci preme sottolineare in questo studio è che l’attività di revisione conta-bile costituisce un momento fondamentale per verificare l’adeguatezza dell’organizzazione amministrativa e contabile, nonché la correttezza gestionale della

società. Per questo motivo il giudizio di un organo esterno, quale appunto la società di revisione, costituisce un elemento indispensabile per assicurare la trasparenza societaria,

19 _{Cfr. R. MAZZEO e M.L. MESIANO, “La tutela del risparmio nella riforma dell’ordinamento} finanziario – Commento alla legge 28 Dicembre 2005, n. 262 e ai provvedimenti attuativi”, a cura di L. DE ANGELIS e N. RONDINONE, op. cit., cap. 9 “Le modifiche alla disciplina della revisione contabile”, pag. 110.

20 _{Tra i quali il codice civile, il D.lgs. 1° Settembre 1993, n. 385 (Testo Unico delle leggi in} materia Bancaria e creditizia) ed il D.lgs. 24 Febbraio 1998, n.58 (Testo Unico della Finanza).

21 _{Noto come “Decreto Pinza”.}

22 _{Regolamenti approvati con le delibere CONSOB del 3 Maggio 2007, n. 15915 e 30 Maggio} 2007, n. 15960.

23 _{Cfr. P. MONTALENTI, op. cit., pag. 203.}

- 9 -

per garantire la correttezza delle informazioni di bilancio e per fornire un parere esperto sullo stato di salute della società e sulle sue prospettive future25.

Successivamente, a causa della crescente complessità degli aspetti tecnico-aziendali e dell’ampliamento del campo di analisi ad aspetti inerenti la corporate

gover-nance, il sistema dei controlli finì per coinvolgere anche figure manageriali

dell’auditing. Oggi difatti è compito degli amministratori e del management aziendale

progettare la struttura del sistema dei controlli interni e procedere alla sua implementa-zione.

La maggiore complessità aziendale richiede una maggiore attenzione ed una maggiore professionalità da parte delle persone che, a vario titolo, lavorano nell’impresa; quest’ultime devono attenersi a precise norme etico-professionali, quali l’indipendenza e la competenza.

Per le società non quotate è lo stesso art. 2387, c.c., a subordinare l’assunzione della carica di amministratore a particolari requisiti di onorabilità, professionalità ed in-dipendenza. Al contrario, nelle società quotate, è stata la legge sulla tutela del risparmio a valorizzare la presenza di amministratori indipendenti nei consigli di amministrazione, tramite l’inserimento della Sezione IV-bis, “Organi di amministrazione”, nel corpo

normativo del TUF26. Mentre, se la società quotata adotta il sistema di amministrazione di tipo monistico, ad essa viene applicata la disciplina di diritto comune di cui all’art. 2409-septiesdecies c.c., secondo la quale tutti i componenti il comitato per il controllo

25 _{Nell’edizione italiana a cura di Associazione Italiana Internal Auditors e} Pricewaterhouse-Coopers, “Internal control over Financial Reporting- Guidance for Smaller Pubblic Companies”, pub-blicata dal CoSo nel 2006, si sottolinea che: “Tra i benefici più rilevanti che derivano dal disporre di dati finanziari accurati, è da considerare il rafforzamento della capacità finanziaria dell’impresa […]. Altri benefici sono rappresentati dalla possibilità di disporre di informazioni affidabili e tempestive a supporto del processo decisionale del management”, op. cit., pag. 6.

26 _{Cfr. S. ROSSI, “La tutela del risparmio nella riforma dell’ordinamento finanziario –} Com-mento alla legge 28 Dicembre 2005, n. 262 e ai provvedimenti attuativi”, a cura di L. DE ANGELIS e N. RONDINONE, op. cit., cap. 4 “La nomina degli amministratori nelle società quotate”, pag. 54.

- 10 -

interno nonché un terzo dei componenti il consiglio di amministrazione devono essere in possesso dei requisiti di indipendenza previsti per i sindaci dall’art. 2399, co. 1, c.c.27

. L’art. 147-ter, co.4, TUF, prevede che, se il consiglio di amministrazione è composto da

più di sette componenti, almeno due di essi devono possedere i requisiti di indipendenza previsti dal TUF per i sindaci, nonché gli ulteriori requisiti previsti dai codici di com-portamento e stabiliti all’art. 148, co.3, TUF28.

Per quanto riguarda invece i componenti degli organi di controllo di società non quotate e non emittenti azioni diffuse tra il pubblico in misura rilevante, essi devono possedere specifici requisiti di professionalità, come richiesto dall’art. 2397, co. 2, c.c., e di indipendenza, ai sensi dell’art. 2399, c.c. Nelle società quotate e nelle società che fanno ricorso al mercato del capitale di rischio invece, la l. n. 262/2005 ha modificato il TUF, ridefinendo, nella Sezione V “ Organi di controllo” all’art. 148 e all’art. 148-bis, i requisiti di onorabilità, professionalità ed indipendenza dei soggetti che svolgono fun-zioni di controllo e prevedendo un limite al cumulo degli incarichi29.

Come indicato nella definizione fornita dall’Associazione Italiana Internal

Audi-tor, scopo del sistema dei controlli interni è quello di fornire al management una

ragio-nevole sicurezza30 sulla realizzazione degli obiettivi aziendali cercando, soprattutto, di minimizzare i rischi insiti nella strategia delineata per conseguire la mission31.

Il sistema dei controlli interni deve appoggiare l’organo amministrativo fornen-dogli un parere obiettivo ed indipendente sull’efficacia della gestione dei rischi e sulla

27 _{Cfr. S. ROSSI, op. cit., pag. 54.}

28 _{Cfr. F. ANNUNZIATA, “La disciplina del mercato mobiliare”, op. cit., pag. 466.} 29 _{Cfr. F. ANNUNZIATA, op. cit., pag. 469.}

30 _{Cfr. P. LISI: “Un sistema di controllo […] può fornire agli organi esecutivi solamente una} ragionevole sicurezza, ma mai la certezza assoluta, in merito al perseguimento delle finalità azien-dali. Un sistema di controllo può limitare i rischi ma non può, in nessun caso, eliminarli completa-mente”, op. cit., pag. 2.

- 11 -

perseguibilità o meno degli obiettivi programmati. Difatti, una volta fissati gli obiettivi strategici, è compito del sistema dei controlli interni intervenire a supporto del processo di analisi dei rischi potenziali ai quali l’impresa potrà essere esposta e spetterà sempre

allo stesso sistema dei controlli definire le procedure organizzative che meglio permet-tano di gestire e monitorare tali rischi32. Dopo un’attenta valutazione dell’ambiente eco-nomico in cui opererà l’impresa, il sistema dei controlli interni dovrà prevedere possibili mutamenti, favorevoli o sfavorevoli, e conseguentemente delineare le modalità più con-venienti per fronteggiare tali trasformazioni o procedere in tempo utile per adattare la struttura aziendale ai cambiamenti esterni33.

In definitiva lo scopo principale del sistema dei controlli è quello di tutelare l’impresa da possibili perdite, sia che siano di carattere economico-patrimoniale sia che

siano di carattere reputazionale34. Al fine di perseguire l’obiettivo di salvaguardia del patrimonio aziendale, il sistema dev’essere progettato in modo tale da proteggere l’impresa da qualsiasi danneggiamento e da qualsiasi distruzione prevenendo possibili

eventi negativi sia di natura dolosa che colposa, siano essi interni od esterni35.

L’ultimo obiettivo del sistema dei controlli interni è rappresentato dal rispetto

delle leggi e dei regolamenti; quest’ultimo è un campo normalmente monitorato, oltre che dalla funzione compliance, anche dalla funzione di internal audit. Un’oculata attivi-tà di vigilanza e di verifica della conformiattivi-tà può agevolare una corretta conduzione d’impresa e ridurre il livello di esposizione della società a eventi sanzionatori con

con-seguenti perdite di credibilità.

32 _{Cfr. M. FAGGION, op. cit., pag. 4.}

33 _{Cfr. R. PROVASI e A. NOBOLO, op. cit., pag. 17.} 34 _{Cfr. M. FAGGION, op. cit., pag. 2.}

35 _{Per approfondire il tema sulla tutela del patrimonio, si veda G. GASPARRI, “I controlli} in-terni nelle società quotate – Gli assetti della disciplina italiana e i problemi aperti”, in Quaderni Giuri-dici Consob, 2013, op. cit., pag. 31, rif. 87.

- 12 -

Si conclude questa breve spiegazione riportando una frase conosciuta e diffusa nel mondo economico aziendale per definire le finalità del controllo, facendo notare che, se correttamente implementato, il controllo non deve essere visto come un onere ma come un’opportunità per creare valore aggiunto per l’impresa36_{: “Il sistema di}

con-trollo interno, grazie alla sua attività di analisi e ottimizzazione dei processi e di ge-stione dei rischi, contribuisce attivamente al perfezionamento delle procedure, dei con-trolli e della gestione aziendale, ottenendo un miglioramento interno ed esterno dell’impresa in termini di produttività (ad esempio, ottimizzando i tempi, contenendo il consumo di risorse, riducendo gli sprechi, etc.), di competitività (ad esempio, vendendo prodotti a prezzi migliori) e di efficacia (ad esempio, raggiungendo i risultati previsti, ottenendo gli standard qualitativi desiderati, incrementando il volume delle vendite se-condo i piani, etc.), con concrete riduzioni dei costi interni aziendali e con il supera-mento delle inefficienze”37.

36 _{Cfr. G. GASPARRI, op. cit., pag. 30, rif. 86.}

37 _{Cfr. M. ANACLERIO, A. MIGLIETTA, F. SERVATO, “Il controllo interno può creare valore} aggiunto?”, in Amm. Fin., 2013.

- 13 - 1.2. Elementi costitutivi38

In dottrina si sono individuate cinque componenti interconnesse39 che, una volta integrate con i processi aziendali, costituiscono il sistema dei controlli interni:

 Ambiente di controllo;  Valutazione del rischio;  Attività di controllo;  Sistema informativo;  Monitoraggio.

Il sistema dei controlli interni è teso a fornire un ambiente aziendale idoneo alla gestione dei rischi ed al perseguimento degli obiettivi, nonché un ambiente che si adatti facilmente alle continue trasformazioni esterne ed interne40. L’ambiente di controllo è costituito da persone che, attraverso azioni e procedure, devono conformarsi a principi di integrità e a valori etici comunemente accettati in azienda; persone che vedano quindi nel controllo una filosofia ed uno stile di direzione41. Ma allo stesso tempo un ambiente di controllo è definito dalla struttura organizzativa aziendale che, se adeguata, garanti-sce l’indipendenza delle funzioni amministrative da quelle operative e definigaranti-sce chiara-mente compiti e responsabilità. Spetta allo stesso organo amministrativo promuovere e

38 _{Per approfondire si veda R. PROVASI e A. NOBOLO, “Corporate Governance; Il Sistema di} Controllo Interno (SCI)” e P. LISI (Presidente Associazione Italiana Internal Auditors), “Ambiente aziendale e cultura del controllo - Analisi complessiva delle interrelazioni tra sistema di controllo in-terno aziendale, etica di impresa e Corporate Social Responsibility”.

39 _{Si riportano i cinque elementi cardine del sistema di controllo individuati nel CoSo Report} I, al riguardo si approfondisca Committee of Sponsoring Organizations of the Treadway Commission (COSO), “Internal Control - Integrated Framework”: “Internal control consists of five interrelated components. […] The components are: Control Environment, Risk Assessment, Control Activities, Information and Communication and Monitoring”, op. cit., pag. 22.

40 _{Cfr. R. PROVASI e A. NOBOLO, op. cit., pag. 21.} 41 _{Cfr. R. PROVASI e A. NOBOLO, op. cit., pag. 22/23.}

- 14 -

perseguire, a tutti i livelli aziendali, una “cultura del controllo” e insegnare determinati

standard comportamentali a cui tutti gli operatori dovrebbero uniformarsi42.

Il secondo elemento costitutivo del sistema dei controlli è, come riportato nell’elenco precedente, la valutazione del rischio. Riprendendo quanto indicato nei

pre-cedenti paragrafi, si ribadisce che il controllo serve proprio per individuare e fronteggia-re tutti quegli eventi potenzialmente idonei a ridurfronteggia-re le probabilità di raggiungefronteggia-re gli obiettivi o gli aspettati benefici43. Ogni azienda deve affrontare una varietà di rischi che, per essere adeguatamente governati, devono prima essere identificati (risk

ment44). Spetta poi alla direzione progettare controlli ad hoc che consentano di gestire strategicamente il portafoglio rischi bilanciando il costo dei controlli con l’impatto/entità del rischio45

.

Strettamente collegata all’attività di valutazione del rischio, si trova l’attività di monitoraggio; essa si sostanzia in un insieme di azioni di supervisione, necessarie per poter apportare continui miglioramenti ed eliminare fenomeni di sovradimensionamento attraverso un’attenta analisi costi-benefici46

. L’attività di monitoraggio prevede una ve-rifica continua sulla corretta operatività del disegno dei controlli e sulla sua aderenza ri-spetto alla realtà operativa.

Per quanto riguarda invece le attività di controllo, queste ultime si concretizzano in politiche e procedure che assicurino la corretta applicazione delle direttive del

mana-gement47. Esse si configurano in un insieme di azioni da svolgere per assicurare un ra-zionale contenimento dei rischi aziendali; di conseguenza risultano strettamente

42 _{Cfr. P. LISI, op. cit., pag. 3 e Cfr. M. FAGGION, op. cit., pag. 2.} 43 _{Cfr. M. FAGGION, op. cit., pag. 3.}

44 _{Cfr. R. PROVASI e A. NOBOLO, op. cit., pag. 28.} 45 _{Cfr. R. PROVASI e A. NOBOLO, op. cit., pag. 29/30.} 46 _{Cfr. P. LISI, op. cit., pag. 5.}

- 15 -

se al settore in cui opera l’azienda, alle sue dimensioni, al contesto di mercato, alla ma-turità e competenza del management48. Adeguata separazione dei compiti, necessaria preventiva autorizzazione per compiere un’operazione, controllo sulle registrazioni e

sulle prestazioni, sono solo alcuni esempi di attività di controllo poste in essere a tutti i livelli dell’organizzazione aziendale49

. Infatti tra le più frequenti tipologie di azioni di controllo si identificano quelle svolte dal top management, quelle effettuate dai respon-sabili di funzioni o divisioni aziendali ed infine i controlli fisici e contabili50.

Il tassello finale, per un corretto operare del sistema dei controlli interni, è la predisposizione in azienda di un efficiente sistema informativo che permetta l’individuazione e conseguente diffusione delle informazioni a tutto il personale in

tem-pi ratem-pidi51. Data l’importanza dell’agire informato, in dottrina si ritiene che il sistema informativo aziendale rappresenti il collante52 che tiene unite le altre componenti del si-stema dei controlli interni. Le informazioni devono essere dapprima individuate ed in-terpretate, per poi essere trasmesse all’interno e all’esterno della realtà operativa d’impresa53

. Tutti gli interventi normativi in materia hanno sottolineato la necessità di garantire flussi informativi attendibili e tempestivi54 sia all’interno della società sia all’esterno.

48 _{Cfr. P. LISI, op. cit., pag. 4.}

49 _{Cfr. R. PROVASI e A. NOBOLO, op. cit., pag. 34.} 50 _{Cfr. P. LISI, op. cit., pag. 4.}

51 _{Cfr. R. PROVASI e A. NOBOLO, op. cit., pag. 40.}

52_{Come viene definito il sistema informativo a pag. 4 del paper “Ambiente aziendale e} cultu-ra del controllo - Analisi complessiva delle interrelazioni tcultu-ra sistema di controllo interno aziendale, etica di impresa e Corporate Social Responsibility” di P. LISI.

53 _{Cfr. R. PROVASI e A. NOBOLO, op. cit., pag. 40.} 54 _{Ad esempio:}

Nel TUF sono molteplici gli articoli che prevedono specifici obblighi informativi nei confronti degli emittenti. Solo per richiamarne alcuni si citano l’articolo 8 “Vigilanza Informativa” , l’articolo 114 “Comunicazioni al pubblico” e 115 “Comunicazioni alla Consob”.

Nel TUB sono previsti “Obblighi di comunicazione” all’art. 20 e all’art.51 “Vigilanza informativa”. Il Regolamento ISVAP n. 20/2008 dedica tutto l’art 12, “Flussi informativi e canali di comunicazio-ne“, all’informativa interna ed esterna.

- 16 - 1.3. Aspetto organizzativo

La responsabilità dei soggetti aziendali coinvolti nel sistema dei controlli viene individuata e dosata su tre livelli:

 Controlli “di primo livello” detti anche controlli “di linea”: sono volti ad

assicu-rare il corretto svolgimento delle operazioni e sono effettuati dalle stesse struttu-re produttive. Possono essestruttu-re integrati nelle funzioni operative attraverso l’utilizzo di procedure automatizzate oppure eseguiti nell’ambito delle attività di “back office”55

.

 Controlli “di secondo livello”: sono le attività di misurazione, monitoraggio e

gestione dei rischi aziendali (risk management) e le attività di verifica della con-formità ai limiti ed alle disposizioni normative (compliance)56. Fa parte di tale livello anche il servizio legale nonostante svolga un controllo maggiormente segmentato. Le attività specifiche di gestione dei rischi devono essere affidate a strutture diverse da quelle operative.

 Controlli “di terzo livello”: vengono riconosciuti nella funzione di internal audit. Si tratta di un’attività indipendente e obiettiva, essa non deve dipendere

gerar-chicamente da nessun’altra struttura ed è autonoma rispetto a qualsiasi funzione operativa. Svolge attività di verifica sulla completezza, sull’adeguatezza, sull’efficacia e sull’efficienza di tutto il sistema dei controlli interni e sull’organizzazione aziendale.

Mentre i controlli “di primo livello” assumono la qualifica di controlli “diretti” e su di essi poggia l’intera “architettura” dei controlli, i livelli di controllo successivi

55 _{Cfr. G. GASPARRI, op. cit., pag. 4.}

56 _{Il Codice di Autodisciplina, sui commenti dell’art 7, specifica che i controlli “di secondo} livello” sono “volti a monitorare e gestire i rischi tipici aziendali, quali il rischio operativo, il rischio finanziario, il rischio di mercato, il rischio di (non) conformità, etc.”.

- 17 -

sumono usualmente la qualifica di controlli “indiretti” perché basano la loro operatività sui flussi informativi generati all’esito degli accertamenti diretti57

. I dati elaborati dalle linee operative vengono analizzati e raffinati per dedurne conclusioni in merito all’attività dell’impresa e alle strategie di intervento più adeguate58

.

Il sistema si presenta come una piramide rovesciata59 che ricomprende l’insieme delle funzioni di controllo “indiretto” la cui attività poggia sul vertice, ossia sui controlli “di primo livello”. Con questa similitudine si vuole evidenziare che si assiste ad una

net-ta prevalenza dei controlli “indiretti” sui controlli “diretti”, in quanto le procedure di controllo si sostanziano in atti di accertamento presso le “istanze inferiori” per verificare

il corretto svolgimento degli atti di ispezione60.

57 _{Cfr. G. GASPARRI, op. cit., pag. 4.} 58 _{Cfr. G. GASPARRI, op. cit., pag. 33.}

59 _{Metafora utilizzata da numerosi scrittori per immaginare un disegno della struttura del} sistema di controllo – si richiama per completezza una perplessità ed un avvertimento di P. MON-TALENTI, “Organismo di vigilanza e sistema dei controlli”, in Giur. comm., 2009: “In conclusione il sistema si presenta come una sorta di "piramide rovesciata" che ricomprende l'insieme delle fun-zioni di controllo indiretto e che poggia sul vertice, anch'esso rovesciato, dei controlli diretti su cui si regge l'intera architettura. Difficile dire se la materia debba essere in qualche modo regolata in via normativa: certo è però che il sistema presenta una evidente fragilità, in quanto se i controlli di-retti (i cosiddetti "controlli di linea") dovessero fallire, l'intero sistema dei controlli si troverebbe ad essere inefficace. In altre parole: i controlli indiretti, proprio perché molteplici, articolati e diffusi, contengono in sé maggiori risorse di feedback e quindi di "autocorrezione"; i controlli diretti, se non opportunamente presidiati, ad esempio con l'istituzione di "controllori dei controllori", i quali veri-fichino, periodicamente ma sistematicamente e direttamente, che i controlli diretti siano effettuati e che siano effettuati in modo adeguato, rischiano di minare la solidità e l'efficacia dell'intero siste-ma”, op. cit., pag. 7.

- 18 - 1.4. Concetti ed attori del controllo

Il “controllo”, nel diritto societario, può assumere differenti significati e riferirsi

a situazioni tra loro diverse e assolutamente non ambivalenti. L’art. 2359 c.c. descrive tre diverse situazioni, al ricorrere delle quali, si configura una situazione di controllo di una società sull’operato di un’altra società. La classica idea di controllo è riscontrabile nella situazione in cui possa versare un società qualora un’altra società disponga della

maggioranza dei voti esercitabili nell’assemblea ordinaria. Ma si identificano con il termine controllo anche situazioni di esercizio di influenza dominante da parte di una società sulla base di un numero sufficiente di voti o in virtù di particolari vincoli con-trattuali.

Allo stesso tempo ci si riferisce, sempre con il termine controllo, anche all’attività di accertamento inserita nell’organizzazione aziendale e svolta, anche se con responsabilità e finalità diverse, dal consiglio di amministrazione e dall’organo di

con-trollo. L’art. 2381, co.3, c.c., specifica che la funzione di supervisione del consiglio di amministrazione si sostanzia in un’attività di vigilanza sull’assetto organizzativo, am-ministrativo e contabile e sull’esame, se elaborati, dei piani strategici, industriali e fi-nanziari della società. Questo esame è una valutazione di carattere generale sull’operato dell’alta direzione e del management riguardo la massimizzazione del valore dell’impresa nell’interesse degli stakeholders61

. Il controllo esercitato dal collegio sin-dacale viene invece definito all’art. 2403 c.c. e si sostanzia in funzioni di alta vigilanza

in ambiti gestionali ed organizzativi, oltre che in ambiti di conformità e legalità62.

61 _{Cfr. R. TISCINI, “Corporate Governance”, op. cit., pag. 7.}

62 _{Al riguardo si veda G. GASPARRI, “I controlli interni nelle società quotate – Gli assetti della} disciplina italiana e i problemi aperti”, in Quaderni Giuridici Consob, n. 4, 2013, pagg. 59/65.

- 19 -

Nella dottrina economiaziendalistica, il tradizionale concetto di controllo co-me attività di verifica e riscontro, si divide in63:

 Controllo “di merito”;  Controllo “di legittimità”;

Innanzitutto il controllo “di merito” viene esercitato dai soci nei confronti del consiglio di amministrazione in quanto, quest’ultimo, deve adempiere verso di loro a doveri fiduciari di correttezza gestionale64. L’organo amministrativo si relaziona con i principali soci attraverso incontri periodici al fine di presentare i risultati perseguiti e il piano strategico che intende realizzare. Momento di confronto importante è rappresenta-to dall’assemblea dei soci, dalla pubblicazione dei report a cadenza periodica65

e dall’incontro annuale per l’approvazione del bilancio d’esercizio (art. 2364, c.c.).

Inoltre, ai sensi dell’art. 2381, co.3, c.c., il controllo “di merito” viene esercita-to dal consiglio di amministrazione nei confronti degli organi delegati sulla base delle informazioni ricevute circa l’attività gestoria. Come previsto dall’art. 2381, co.5, c.c., spetta alla componente delegata predisporre gli assetti organizzativi, amministrativi e contabili in maniera adeguata rispetto alla natura e alle dimensioni dell’impresa.

Il controllo “di merito” concerne la convenienza economica e l’opportunità delle scelte manageriali66; tuttavia al riguardo occorre ricordare che, anche nel nostro ordi-namento, il merito della gestione è assistito dalla c.d. business judgment rule: “le opera-zioni gestorie degli amministratori non sono sindacabili, né dal collegio sindacale, né dal comitato audit, né dai revisori, né dal giudice se non in caso di manifesta

63 _{Cfr. G. GASPARRI, op. cit., pag. 11.} 64 _{Cfr. R. TISCINI, op. cit., pag. 9.} 65 _{Cfr. R. TISCINI, op. cit., pag. 9.} 66 _{Cfr. G. GASPARRI, op. cit., pag. 12.}

- 20 -

tà oppure di palese assenza di procedimenti di valutazione dei profili economici, finan-ziari, tecnici dell’operazione”67

.

Una categoria a parte, ma comunque ricompresa all’interno del controllo “di

me-rito”, risulta essere il controllo “sul rispetto dei principi di corretta amministrazione”.

Quest’ultima tipologia di controlli risulta affidata, anche se con compiti differenziati, sia all’organo di gestione come plenum nei confronti della componente delegata, sia all’organo di controllo (cfr. art. 2381, co. 3; art. 2403, co. 1; art. 149, co. 1 TUF; art.

149, co. 4-bis e co. 4-ter, TUF)68. Il controllo “sul rispetto dei principi di corretta

am-ministrazione” coincide con un’attività di verifica in merito alla professionalità adottata

dai manager nelle loro scelte aziendali69. Al riguardo si ricorda che, tra i doveri del con-siglio di amministrazione, si individuano doveri di lealtà e di diligenza; l’art. 2392, co. 1, c.c. prevede che, in caso di mancato adempimento dei doveri imposti in capo agli amministratori, essi risultino solidalmente responsabili verso la società.

Al contrario al collegio sindacale non compete un controllo sulla gestione in senso stretto, bensì una verifica sulla legalità e conformità delle scelte gestionali. In po-che parole il controllo dei sindaci deve arrestarsi là dove le scelte dei manager risultino diligenti e professionali70.

I controlli “sul rispetto dei principi di corretta amministrazione” risultano

stret-tamente collegati con i controlli “sull’adeguatezza degli assetti organizzativi”71; quest’attività di verifica spetta sia al consiglio di amministrazione sulla base dell’art.

2381, co. 3, c.c., sia all’organo di controllo ai sensi dell’art. 2403, co. 1, c.c.

67 _{Cfr. P. MONTALENTI, “Il sistema dei controlli interni nel settore assicurativo”, cit., pag. 198.} 68 _{Cfr. P. MONTALENTI, “Il sistema dei controlli interni nel settore assicurativo: profili} gene-rali”, 2009, op. cit., pag. 5.

69 _{Cfr. P. MONTALENTI, “Il sistema dei controlli interni nel settore assicurativo”, cit., pag. 198.} 70 _{Cfr. G. GASPARRI, op. cit., pag. 60.}

- 21 -

Come il controllo “sul rispetto dei principi di corretta amministrazione”, anche il controllo “sull’adeguatezza degli assetti organizzativi” viene esercitato dall’organo

amministrativo sulla base delle informazioni ricevute dagli organi delegati. In conclu-sione l’attività di controllo deve essere letta nella prospettiva di una bipartizione dei

compiti di governance tra organo delegante (chiamato a “valutare”) e organo delegato (chiamato a “curare”)72

.

Per quanto attiene alla vigilanza condotta dall’organo di controllo invece, essa deve riguardare la coerenza dell’assetto dato dagli amministratori alle strutture

azienda-li, rispetto alle caratteristiche dimensionali dell’impresa e all’attività di business73. Si rende necessario un piccolo chiarimento circa la vigilanza sul sistema amministrativo-contabile; i sindaci non devono entrare nel merito del bilancio o della contabilità gestio-nale, compito affidato quasi in esclusiva alla società di revisione legale, bensì devono verificare la rispondenza a criteri di buona amministrazione ed il corretto operare del si-stema di rilevazione contabile74.

In definitiva è possibile evidenziare che, se, come detto precedentemente, il si-stema dei controlli interni rappresenta un segmento procedurale dell’assetto organizza-tivo, allora l’attività di valutazione sull’adeguatezza degli assetti organizzativi ricom-prende anche la vigilanza sull’efficacia del sistema e la verifica della sua idoneità rispet-to alle caratteristiche dimensionali ed operative dell’impresa75

. Dunque si comprende che l’obbligatorietà del sistema dei controlli interni deve essere riconosciuta come

72 _{Cfr. G. GASPARRI, op. cit., pag. 38.} 73 _{Cfr. G. GASPARRI, op. cit., pag. 61.} 74 _{Cfr. G. GASPARRI, op. cit., pag. 62.} 75 _{Cfr. P. MONTALENTI, op. cit., pag. 200.}

- 22 -

cipio di diritto societario comune76; esso rappresenta un elemento necessario ai fini dell’adeguatezza della struttura organizzativa della società.

Per le società quotate nei mercati regolamentati l’obbligatorietà del sistema dei controlli interni è espressamente prevista nel TUF all’articolo 149, “Doveri”; mentre per le società che adottino il sistema di amministrazione monistico, il sistema dei controlli è previsto obbligatoriamente dall’art. 2409-octiesdecies del codice civile, “Comitato per il

controllo sulla gestione”77.

Come si sostiene in dottrina, la realtà che si profila ai nostri occhi è paragonabile ad “un puzzle normativo vagamente barocco, dal quale si evince, in definitiva, che per

tutte le società quotate, quale che sia il modello di governance adottato, l’istituzione del sistema di controllo interno è sempre obbligatoria”78.

Per quanto riguarda il controllo “di legittimità”, esso a sua volta si suddivide in:

 Controllo “di legalità”: consiste nel verificare che i fatti di gestione siano

con-formi alla legge.

 Controllo “di legittimità sostanziale”: accerta che le decisioni degli

amministra-tori siano correttamente svolte79.

A seconda del modello di governance adottato dalla società, il controllo “di

le-gittimità” viene esercitato dal collegio sindacale (articolo 2403, c.1), dal consiglio di

sorveglianza (articolo 2409-terdecies, c.1) o dal comitato per il controllo sulla gestione (articolo 2409-octiesdecies, c.5). Questa tipologia di verifica non si esaurisce in un

76 _{Cfr. P. MONTALENTI, op. cit., pag. 196.}

77 _{Cfr. P. MONTALENTI, “Organismo di vigilanza e sistema dei controlli”, cit., pag. 643.} 78 _{Cfr. P. MONTALENTI, “Il sistema dei controlli interni nel settore assicurativo: profili} gene-rali”, cit., pag. 4.

- 23 -

semplice controllo di legalità, ma si sostanzia anche in un controllo più pervasivo e pe-netrante sui processi decisionali condotti dagli organi di gestione80.

Alla luce di quanto illustrato, si può concludere notando che oggigiorno il trollo è un compito bipartito, anche se con competenze e responsabilità diverse, tra con-siglio di amministrazione e collegio sindacale. L’organo amministrativo, coerentemente all’attività di alta amministrazione ad esso spettante, viene investito di un ruolo apicale

nel sistema dei controlli81; al contrario, l’organo di controllo assume il ruolo di ricerca-tore, di destinatario e di fonte di informazioni, risultando un attore coinvolto in numero-se relazioni intersoggettive interne alla società82.

Altro organo sociale deputato al controllo risulta essere il dirigente preposto alla redazione dei documenti contabili societari. Quest’ultima figura è stata introdotta dalla

l. n. 262/2005 attraverso l’inserimento della Sezione V-bis, “Informazione finanziaria”, all’interno del TUF. Le novità di cui agli art. 154-bis e 154-ter vennero introdotte, nel

corpo del Testo Unico, sia dalla legge sulla tutela del risparmio sia dal recepimento del-la Transparency Directive83. L’art. 154-bis, co.3, TUF, prevede l’obbligo per il dirigen-te preposto alla redazione dei documenti contabili societari di predisporre adeguadirigen-te pro-cedure amministrative e contabili tanto per la formazione del bilancio di esercizio quan-to per la stesura di ogni altra comunicazione di carattere finanziario84. Al dirigente spet-ta la direzione ed il coordinamento dello sspet-taff dedicato alla conspet-tabilità, nonché la certifi-cazione delle comunicazioni finanziarie e dei documenti contabili prodotti.

80 _{Cfr. G. GASPARRI, op. cit., pag. 11.} 81 _{Cfr. G. GASPARRI, op. cit., pag. 35.} 82 _{Cfr. G. GASPARRI, op. cit., pag. 65.} 83 _{Cfr. F. ANNUNZIATA, op. cit., pag. 470.}

84 _{Cfr. L. LOPEZ, “La tutela del risparmio nella riforma dell’ordinamento finanziario –} Com-mento alla legge 28 Dicembre 2005, n. 262 e ai provvedimenti attuativi” , a cura di L. DE ANGELIS e N. RONDINONE – op. cit., cap. 10 “Il dirigente preposto alla redazione dei documenti contabili societari” , pag. 146.

- 24 -

Molto spesso questa figura coincide con i dipendenti appartenenti all’alta

diri-genza della società, che sono responsabili della contabilità e che, prendendo parte opera-tivamente alla vita aziendale, sono i veri domini della contabilità societaria85. La loro at-tività non si riduce alla predisposizione di procedure contabili, ma si sostanzia anche in attività di controllo e di certificazione. Per questo infatti la figura del dirigente appare caratterizzata da una forte impronta di “garanzia” nei confronti dei terzi. Di

conseguen-za a tale ruolo fa riscontro una precisa responsabilità: l’art. 154-bis, co.6, TUF, equipara la responsabilità del dirigente alla responsabilità prevista per gli amministratori86.

Circa l’ambito di applicazione dell’obbligo di nominare un dirigente preposto

alla redazione dei documenti contabili societari, in dottrina87 si ritiene che la disciplina dell’art. 154-bis, TUF, debba applicarsi sia alle società quotate sia alle società che,

seb-bene non quotate, emettano strumenti finanziari diffusi tra il pubblico in misura rilevan-te. Per quanto riguarda le società non quotate non pare che possa imporsi la nomina di un dirigente cui applicare le specifiche disposizioni dell’art 154-bis, TUF, lasciando in

questo modo piena autonomia alle singole società. Tuttavia, qualora una società “chiu-sa” decidesse di nominare un dirigente preposto alla redazione dei documenti societari,

su di esso ricadrebbe la responsabilità prevista dall’art 2434 c.c..

Riflettendo su quanto appena detto, ci si accorge che i compiti del dirigente pre-posto alla redazione dei documenti contabili, appartenendo all’area gestionale dell’impresa, finiscono per “interferire” con la sfera normativa di competenza degli

or-gani delegati, con la conseguenza che le funzioni spettanti a questi ultimi dovranno es-sere coordinate con quelle del dirigente88. Inoltre il dirigente preposto dovrà svolgere la

85 _{Cfr. L. LOPEZ, op. cit., pag. 147.}

86 _{Cfr. F. ANNUNZIATA, op. cit., pag. 470.} 87 _{Cfr. L. LOPEZ, op. cit., pag. 151.}

- 25 -

sua attività coordinandosi anche con gli organi di controllo, per esempio predisponendo adeguati flussi informativi in materia contabile89.

A quest’ultimo attore del controllo si aggiunge il responsabile della funzione di

internal audit. Relativamente a tale funzione, la disciplina comune tace in modo

assolu-to, mentre il TUF le dedica solo dei fugaci accenni (art. 6, co. 2-bis, lett. g, TUF; art. 150, co. 4, TUF)90. Al contrario, ampio spazio è riservato all’internal audit nell’ambito della normativa secondaria dei settori speciali: ci si riferisce alla disciplina emanata dal-la Banca d’Italia, aldal-la regodal-lamentazione assicurativa prevista dall’IVASS ed infine alle

normative adottate dalla Banca d’Italia e dalla CONSOB in relazione agli intermedia-ri91. Anche il Codice di Autodisciplina di Borsa Italiana riconosce alla funzione di

in-ternal audit un ruolo centrale all’interno del sistema dei controlli e di gestione dei

ri-schi. All’art. 7 del Codice vengono individuate le funzioni principali in capo al respon-sabile dell’internal audit; tra cui il compito di verificare l’adeguatezza e l’efficienza del sistema dei controlli interni e di gestione dei rischi92, garantendo poi tempestivi flussi informativi nei confronti degli altri organi sociali.

In questo quadro legislativo e tecnico molto articolato si inserisce anche la disci-plina, dettata dal D.lgs. 8 Giugno 2001 n. 231, in tema di cd. responsabilità penale della persona giuridica93. La disciplina ha previsto un’altra figura tra gli attori del controllo, ossia l’Organismo di Vigilanza. Occorre subito precisare che non si sta parlando di un nuovo organo sociale, ma, come precisato dal legislatore, “nelle società di capitali il col-legio sindacale, il consiglio di sorveglianza o il comitato di controllo sulla gestione

89 _{Cfr. G. GASPARRI, op. cit., pag. 72.} 90 _{Cfr. G. GASPARRI, op. cit., pag. 74.} 91 _{Cfr. G. GASPARRI, op. cit., pag. 75.}

92 _{Cfr. art. 7 del Codice di Autodisciplina di Borsa Italiana.}

- 26 -

sono svolgere le funzioni dell’Organismo di Vigilanza”94. Ad esso competono funzioni di prevenzione nella commissione di reati contabili e di attuazione del “modello di or-ganizzazione, gestione e controllo” per rendere esente la società da responsabilità

am-ministrativa95.

Si assiste quindi all’espletamento, da parte dell’organo di controllo, di numerose

e diverse funzioni in base alla denominazione ad esso attribuita. Lo stesso organo socie-tario può assumere la veste di organo di controllo (artt. 2397/2409 c.c.), di Organismo di Vigilanza (D.lgs. 231/2001) ed infine anche di comitato per il controllo interno e la revisione contabile (D.lgs. 39/2010). A quest’ultimo organo spettano funzioni di vigi-lanza in materia di informativa finanziaria, compiti di verifica dell’adeguatezza e dell’efficacia del sistema dei controlli interni ed infine compiti di valutazione dell’esistenza dei presupposti d’indipendenza e di professionalità in capo al revisore

le-gale o alla società di revisione lele-gale (art. 19, D.lgs. 39/2010).

Da ultimo si richiama un’ulteriore distinzione: tra controlli “interni” e controlli “esterni”. Mentre i primi si riferiscono agli organi societari, alla funzione di internal

audit e al dirigente preposto; i secondi vengono esercitati da soggetti esterni all’impresa

- CONSOB, Banca d’Italia, IVASS, società di revisione, Autorità Giudiziaria etc96.

94 _{Cfr. P. MONTALENTI, “Il sistema dei controlli interni nel settore assicurativo: profili} gene-rali”, cit., pag. 9.

95 _{Cfr. P. MONTALENTI, op. cit., pag. 9.}

- 27 -

Capitolo II

EVOLUZIONE STORICA DEI CONTROLLI INTERNI

SOMMARIO: 2.1. Nel panorama internazionale – 2.2. Nel panorama europeo e nazionale.

2.1. Nel panorama internazionale97

Con un breve excursus storico si intende dimostrare che il concetto di controllo interno, sviluppatosi inizialmente negli Stati Uniti durante il secolo passato, subì poi progressive modifiche ed evoluzioni fino ad assumere l’odierno significato.

Fino agli anni ’40 parlando di controllo ci si riferiva ad un aspetto della

revisio-ne contabile; difatti la crescita dimensionale di alcurevisio-ne imprese aveva reso revisio-necessario l’adozione di modalità di verifica sulla completezza e veridicità dei documenti contabili

sottoposti a revisione.

Tuttavia, sul finire degli anni ’50, si riscontrò la necessità di elaborare una no-zione di controllo interno ben più ampia ed articolata che andasse oltre gli aspetti me-ramente contabili e fu così che, con lo “Statement on Auditing Procedure n° 29” pubbli-cato dal “Committee on Auditing Procedure – American Institute of Certified Public

Accountants”, si distinse per la prima volta tra controlli amministrativi, riguardanti una

verifica sull’operatività delle scelte aziendali, e controlli contabili.

Nel corso degli anni ’70 la nozione venne ulteriormente affinata in altri

“State-ment” che, non discostandosi molto dalla precedente distinzione, definirono il controllo

come un’organizzazione di procedure e di documentazioni concernenti la salvaguardia dei beni aziendali, l’affidabilità della documentazione contabile e le decisioni

autorizza-tive degli amministratori98.

97 _{Per approfondire il tema si rimanda a G. GASPARRI, “I controlli interni nelle società} quota-te – Gli assetti della disciplina italiana e i problemi aperti”, in Quaderni Giuridici Consob, n. 4, 2013, pagg. 14/20.

- 28 -

Verso la metà degli anni ’80 gli Stati Uniti assistettero ad una proliferazione di procedure fallimentari causate da pesanti irregolarità aziendali; per questo nel 1987 venne pubblicato uno studio sulle frodi contabili, sul falso in bilancio e sulle false co-municazioni sociali (noto come Treadway Report).

Grazie a questo elaborato si affermò una nuova chiave di lettura del fenomeno e si iniziò a pensare al controllo come ad un processo il cui fulcro operativo veniva indi-viduato nell’identificazione e nella mappatura dei rischi. Si iniziò quindi ad individuare, all’interno delle imprese, un’apposita area operativa dedicata al risk management,

diret-ta, per un verso, all’ individuazione ex ante delle aree aziendali maggiormente esposte al rischio e, per l’altro verso, all’adozione di aggiustamenti per rafforzare le aree più “deboli”99

. Nel report oltretutto venne segnalata l’importanza della creazione di un ido-neo ambiente di controllo in cui vengano comunemente accettati dei codici di compor-tamento e dove venga percepita la necessità della presenza di una funzione di revisione interna competente ed obiettiva100.

La necessità, percepita dalle stesse imprese, di sviluppare un modello comune di controllo interno, portò alla creazione, verso la fine degli anni ’80, di un gruppo di

lavo-ro denominato Committee of Sponsoring Organizations of the Treadway Commission

(CoSO). Nel 1992, attraverso la pubblicazione di un rapporto intitolato “Internal Con-trol: Integrated Framework” (noto come CoSO Report), si procedette alla definizione di

un modello di riferimento per il management aziendale101. Il Report, concepito alla stre-gua di un manuale operativo, doveva aiutare il management aziendale nella predisposi-zione delle attività di controllo e forniva alcuni chiarimenti su concetti precedentemente estranei all’operatività aziendale102

. Nel primo framework si definiva il sistema di

99 _{Cfr. G. GASPARRI, op. cit., pag. 15.} 100 _{Cfr. G. GASPARRI, op. cit., pag. 15.} 101 _{Cfr. G. GASPARRI, op. cit., pag. 16.} 102 _{Cfr. G. GASPARRI, op. cit., pag. 16.}

- 29 -

trollo interno come “un insieme di meccanismi, procedure e strumenti predisposti dalla direzione per assicurare il conseguimento degli obiettivi aziendali” e si puntualizzava

che, ciascuno degli obiettivi aziendali, se non perseguiti, può condurre a manifestazioni di perdite economiche o distruzioni di valore103. Dunque l’introduzione, lo sviluppo, e la revisione del sistema di controllo interno si giustificava in relazione al fatto che esso permetteva di minimizzare, ove economicamente conveniente, il rischio di perdite dovu-to al mancadovu-to o parziale raggiungimendovu-to degli obiettivi di economicità, attendibilità e conformità104.

Esso diventò in pochi anni uno dei modelli più conosciuti al mondo e rappresen-tò per moltissimi Paesi uno schema di riferimento per la predisposizione di Codici di Autodisciplina e per l’individuazione di best practices a cui uniformare la propria attivi-tà105. Agli inizi del secondo millennio, sempre negli Stati Uniti, vennero condotti ulte-riori studi in tema di financial reporting ad opera del SEC - US Securities and Exchange

Commission.

Uno studio più recente, pubblicato nel 2004 sempre a cura del CoSO, ha contbuito a inserire la nozione di controllo interno in quella più ampia di “gestione dei ri-schi” teorizzando un nuovo modello di valutazione: si tratta del rapporto intitolato

“En-terprise Risk Management - Integrated Framework”, più noto come CoSO Report II106. L’approccio ERM107

adottò una politica di valutazione completamente diversa dalle precedenti e dimostrò che gli eventi incerti possono rappresentare un rischio108 per

103 _{Cfr. M. FAGGION, op.cit., pag. 2.} 104 _{Cfr. M. FAGGION, op.cit., pag. 2.} 105 _{Cfr. G. GASPARRI, op. cit., pag. 16.} 106 _{Cfr. G. GASPARRI, op. cit., pag. 18.}

107 _{Il CoSo Report II definisce l’ERM come “un processo, diretto dall’organo amministrativo,} dal management o da altri organi, applicato agli obiettivi strategici e disegnato per identificare po-tenziali situazioni rischiose che potrebbero influenzare il conseguimento degli obiettivi e controlla-re i rischi in base alla propensione al rischio dell’azienda, per assicuracontrolla-re un livello ragionevole di conseguimento degli obiettivi”, si veda al riguardo M. FAGGION, “Schema conclusivo sul Sistema di Controllo Interno”, pag. 4.

- 30 -

l’impresa e, al tempo stesso, se adeguatamente governati, anche un’opportunità di

crea-zione di valore. Se si pensa in questa nuova prospettiva allora l’affidabilità dei controlli determina una minore/maggiore riduzione della vulnerabilità aziendale, ma ricordando che, per essere economicamente efficienti, occorre correlare ogni singolo obiettivo aziendale con un numero sufficiente di controlli, i quali, secondo un’attenta analisi

co-sti-benefici, non devono risultare eccessivi109. Attraverso questa nuova visione si arrivò a concludere che, un adeguato sistema integrato “rischi-controlli”, può rappresentare una sfida a cui il management deve rispondere attraverso la definizione di una serie di politiche volte alla massimizzazione del valore tramite una corretta gestione dei rischi. La definizione di sistema di controllo interno si è quindi ampliata verso una vi-sione del controllo come di uno strumento di gestione integrata del rischio d’impresa, di

salvaguardia del patrimonio aziendale e di creazione di valore per tutti gli

stakehol-ders110. Dalla definizione fornita nel Report, spetta al consiglio di amministrazione de-finire adeguatamente l’attività di controllo dei rischi secondo una visione coerente con

le pianificate strategie aziendali e con il “risk appetite” dell’impresa111.

L’approccio adottato in sede di progettazione e valutazione dei controlli interni

si basò su una visione principle-based, ossia sulla stesura di discipline che lascassero ampia autonomia alle imprese. Questo approccio influenzò profondamente l’impostazione dei Codici di Autodisciplina, tra cui il Codice di Autodisciplina di Borsa

Italiana con la revisione del 2011.

Per completezza è opportuno ricordare che, per le società quotate che utilizzano il framework del CoSo del 1992 come riferimento per il controllo interno, dal 15

- evento incerto la cui probabilità può essere misurata oggettivamente. (Knight, 1933);

- evento incerto la cui probabilità può essere stimata anche soggettivamente. (CIMA, 2000);

-evento incerto che può sfavorevolmente influenzare il conseguimento degli obiettivi dell’organizzazione. (CoSO, 2004)”, M. FAGGION, op. cit., pag. 3.

109 _{Cfr. M. FAGGION, op. cit., pag. 5.} 110 _{Cfr. G. GASPARRI, op. cit., pag. 20.} 111 _{Cfr. G. GASPARRI, op. cit., pag. 16.}